Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.

Нам понядобятся:
o Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
o Wireshark (http://www.wireshark.org)
o Виртуалка (Oracle VirtualBox)

Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.

Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.

Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.

Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":

Мы получили список пакетов, отправленных по FTP:

На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.

Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).

Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:

Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.

Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.

Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:

Декодируем логин и пароль от мыла отправителя при помощи этой веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).

Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.

Продолжая тему особо ценных постов, представляю анализ новой тулзы под именем Goga Hosts v1.0 Ниже я постараюсь не употреблять такие фразы как "идиот", "шозаёбтвоюмать" и т.п., но ничего гарантировать не могу.

О программе: прописывает вбитые данные в файл hosts, тем самым перенаправляя юзера куда злоумышленнику надо, или просто нахуй в 0.0.0.0, тем самым блокируя для юзера определенный сайт.

Итак, первое, что попадает на глаза, так это билдер. Лично мое мнение — так лучше не делать. Он не упакован, архив с билдером — тоже, всё без компрессии. Смысл так делать? Нету, нету этого самого смысла. Название тоже доставляет. Как мы увидим дальше, грузинские корни у автора таки есть ИБО ТАКОЙ ХУЙНИ НАДО УМЕТЬ УПОРОТЬ (если ты, мой дорогой читатель, и есть автор — не обижайся же!).

Запускаем и видим интерфейс:

И что бы вы подумали? Тут я бы тоже так не делал. Имхо - в маленькой тулзе менюшки смотрятся весьма и весьма уёбищно.

Жмем "Создать" и получаем ЕХЕ, весом чуть менее 50КБ. Дохуевато. Первым делом смотрим, что же это такое, но, думаю, все уже поняли, что билд написан на Delphi. На расово верном асме вышло бы в 10 раз меньше, хотя с мегабитовыми каналами всем уже похуй.

Создали билд, запустили. Файл дропнулся сюда: "%WINDIR%\winupdate.exe". Опять же, не стоит такой штуки делать. Есть %TMP% и иже с ним. Далее этот бинарник забивает себе место в автозагрузке по адресу HKCU\..\Run:SysQh

При запуске не из виндовой папки, билд копирует себя в оную (см. выше) и запускает копию на исполнение. В процессе работы рядом с файлом winupdate.exe создается еще одна копия с рандомным названием, которая, собственно и "блокирует" hosts-файл. В памяти присутствуют оба бинарника, один охраняет второй от убивания. Очень сомнительная охрана, ведь эту парочку говна можно завершить в два клика.

После запуска билда топаем в папку с hosts файлом и видим:

Скрытый файл — это настоящий файл hosts, в нем и происходит основное действие, второй же файл hosts — фэйковый, с левой буквой "о". В него, при запуске билда, падает одна единственная строка: "127.0.0.1 localhost", что, сдается мне, немножечко палевно, при первом запуске туда стоит сбрасывать содержание реального файла.

А вот со скрытым-настоящим файлом ситуёвина гораздо интереснее:

Первая строка — это значение файла hosts до запуска билда, старое значение в общем. Вторая строка — то, что мы вбивали в билдере. Сработало, но с багом — после строки идет 3 нулевых байта и еще какая-то херня. Нушозаебтваю! Третья строка — это непонятное наебалово со стороны автора. Я такой хуйни не вбивал и не просил, т.е. билд вбивает левую хуйню за компанию с хуйней, вбитой в билдере. Строка блокирует доступ к сайту www.bt.bashtel.ru Нахуя он такое сделал — эт к аффтару.

В общем, такие вот дела. Да, не забудем упомянуть 2 долбоебизма, которые желательно исправить. Номер раз - строки в открытом виде (ну блядь поксорить то можно было!). Номер два — запись конфига в билд. Ну т.е. запись всех этих хостов и айпишников. Ежели делать нормально, то конфиг стоит цеплять в виде того же ресурса, без каких либо ограничений на размер конфига.

Посвящяется одной бабушке.

Итак, меня упрекнули в излишней водичке и отсутствии конкретики в бложеко-постах. Сабж поста (чиста и канкретна!) — взлом гейта стилера.

Процесс взлома гейта весьма прост. Для этого нам понадобятся: стилер любой версии (чтобы мог слать отчеты на гейт), сам шелл (php-скрипт) и, по возможности, виртуалка. Далее по пунктам:

1. Находим чужой гейт. Неважно как, через гугл или вытянули из билда. Гуглить можно по фразе "UFR Stealer Gate - Welcome!". Сейчас вот загуглил — нашелся новый, еще вчера не было: гейт. На нем и будем показывать.

2. Создаем билд, настроенный на нужный гейт и закачку нашего шелла. Вбиваем данные гейта:

Шеллом у нас выступит WSO. Скачиваем его отсюда: шелл В архиве 2 файла — нам подойдет любой. Распаковываем, и переименовываем файл во что-нибудь неприметное, к примеру index2.php. Обязательно меняем хэш пароля во второй строке скрипта, инача сам понимаешь, шелл с паролем по дефолту станет публичным. Продолжаем настраивать билд стилера. Выключаем стилинг, чтобы наши пароли не ушли хрен знает куда. Далее переключаемся на граббинг файлов. Вбиваем такую маску поиска:

Также, для удобства настраиваем нотификацию, чтобы при завершении выдало мессадж:

3. Нажимаем "Создать!" и получаем нашу отмычку гейтов. Для ускорения работы, нам потребуется виртуалка, желательно чистая — чем меньше в системе хлама, тем быстрее билд отработает. Копируем на виртуалку билд, запускаем и ждем сообщения о завершении.

Получили? Тогда продолжаем. Если нет — добро пожаловать на форум, всегда рады новым багам :)

Всё, шелл залит. Осталось найти его. Если трояно-впариватель тире владелец гейта ничего в скрипте гейта не менял, тогда нам повезло. Идем по такому адресу:

http://ip.16mb.com/sound/ufr_files/%IP%/index2.php

Где %IP% — твой айпи. Заходим, логинимся, смотрим/убиваем отчеты, убиваем все файлы и т.д. С гейтом, указанным в качестве примера выше, всё вышеуказанное работает.

Имейте совесть или совесть поимеет вас

В последнее время моральные устои публичного андерграунда, представленного в виде десятков, а то и сотен хакерских форумов, начали падать ниже плинтуса. Взломом ради взлома сейчас можно удивить почти любого - всех тянет вниз жажда наживы. Мало того, толпы неполовозрелых особ (или школота, от гр. "долбоёбус школитисимус" - лицо девственной национальности) осели на этих самых форумах и теперь активно ракуют и портят саму атмосферу. Они! Нас! Истинных хакеров в третьем поколении троянят! Нет, серьезно. Не проходит и дня, как прыщавый 9-классник создаст на форуме пачку тем в стиле "Новый супир криптор! все кочать!!!". И тут "набигают" с десяток аналогичных особей, ну и происходит "это". "Вах там троян", "убью паскуда", "задолбала школота" - и всё это оседает. И вместо технических тем получаем гигабайты бессмысленного поноса - и как тут что-либо можно найти. Хотя вообще, наблюдать это со стороны бывает весело. Стая идиотов мигрирует из топика в топик и троянят друг друга по очереди. И как всегда всё портит один из стариков форума, вещающий "Там троян, не качайте". Кайфолом...

Взлом кейгенми "s3rh47's KeygenMe 4"

Скачать можно отсюда: http://crackmes.de/users/s3rh47/keygenme_4_by_s3rh47/

Файл самого кейгенми размером в 126 килобайт, что подтолкнуло к мысле о дельфи или большом количестве кода. Благо нет ни того ни другого.

Прячем Зло или Чистим АВ-сигнатуры: Второе пришествие

This is war, ain't no fun and games

Наконец-то я решил написать продолжение мануала по чистке файлов. Суть способа почти не изменилась, поэтому для начала лучше прочитать первую часть (/page/malware-cleanin) - там есть немного информации для старта.

Прячем Зло или Чистим АВ-сигнатуры

Интро

Надюсь, тебе известно, как в АВ-программах организован поиск зловредов: в антивирусе есть база данных, в которой собраны сигнатуры вирусов - уникальные куски кода/данных. Антивирус ищет в файле эти куски, и если находит - прощай свежий криптор или троян.

Доковыряться до сигнатур них - задача не из легких, поэтому мы выберем путь полегче - найдем их самостоятельно, не копаясь в базах продуктов мозговой жизнедеятельности аверов.

Суть такого поиска сигнатур - попробовать менять каждый байт вируса, и если после такого он станет чистым в глазах АВ - мы нашли ее! У такой методы есть большое количество минусов - скорость поиска, возможность вообще ничего стоящего не получить и т.п. Но пробовать все-равно стоит!